Pc Locker, il ransomware che non chiede soldi ma informazioni
C’è un ransomware “diverso” là fuori. I ricercatori di Fortinet hanno da poco identificato una nuova tipologia di programma maligno che, a differenza degli altri, non blocca il computer chiedendo un riscatto in denaro, ma obbliga la vittima a compilare un questionario online. Il malware, ribattezzato temporaneamente Pc Locker, cifra sempre i dati dell’utente (come fanno anche gli altri software di questa famiglia) e fa poi partire un conto alla rovescia: se entro 72 ore non si compila la survey tutte le informazioni presenti sul dispositivo verranno cancellate per sempre.
Pc Locker fa innanzitutto comparire una schermata di blocco, in cui avvisa l’utente dell’infezione. Tramite la finestra, forza poi l’utente a dirigersi alla pagina contenente il sondaggio: una volta risposto a tutte le domande il malware consegnerà la password di sblocco.
Ma, come sottolineato da Fortinet, il link punta a una pagina Web non più accessibile. Secondo i ricercatori il dominio non è più attivo da due anni e questo significa che gli autori del ransomware stanno probabilmente testando una prima variante del programma e il “rilascio” ufficiale non è ancora pronto. Esplorando il codice di Pc Locker, scritto in .Net, Fortinet è comunque riuscita a trovare la password necessaria per lo sblocco.
Una volta inserita la chiave (“london1969paris”) nello spazio apposito e cliccando “Sblocca”, si apre una schermata con i campi “Administrator username” e “Administrator password”. Nelle sue pieghe, il ransomware contiene ancora una volta le informazioni necessarie (user “pchip2012” e codice d’accesso “s2m2sug1”): scrivendo quanto richiesto si apre un pannello di controllo per amministratori che presenta tre opzioni: “ripristina registro”, “log off” e “chiudi”.
La pagina Web non accessibile non ha dato modo di capire quali dati gli utenti avrebbero dovuto inserire. È probabile che la raccolta delle informazioni possa servire per affinare la tecnica di Pc Locker, personalizzando così eventuali attacchi futuri e garantendo agli hacker un tasso di successo superiore. Il ransomware “pare funzionare solo su alcuni sistemi, ma sospettiamo che possa manifestarsi nuovamente in futuro, magari in forma più aggressiva”, ha scritto l’azienda. (fonte)
